Sommige bestandsnamen gaven aanwijzingen over serie- en afleveringsnummers. Er waren ook bestanden en projecten die onderzoekers niet konden identificeren – waaronder “een heleboel bestanden” met paardenvideo’s en een Russisch boek over paarden, zei Williams.
De sancties die aan het Noord-Koreaanse regime zijn opgelegd vanwege de voortdurende schendingen van de mensenrechten en het programma voor nucleaire oorlogvoering, verbieden Amerikaanse bedrijven zaken te doen met Noord-Koreaanse bedrijven of individuen. Onderzoekers zeggen echter dat het onwaarschijnlijk is dat een van de betrokken bedrijven enige kennis had van de Noord-Koreaanse animators die aan de serie werkten, en er zijn geen aanwijzingen dat de bedrijven sancties of andere wetten hebben overtreden. “Het is waarschijnlijk dat de contractuele regeling verschillende stappen stroomafwaarts van de belangrijkste producenten plaatsvond”, aldus het rapport.
Woordvoerders van Amazon en een woordvoerder van Max weigerden commentaar te geven op dit verhaal. YouNeek Studios heeft niet gereageerd op een verzoek om commentaar.
‘We werken niet samen met Noord-Koreaanse bedrijven, en ook niet met Chinese bedrijven Onoverwinnelijkof enige geassocieerde entiteiten, en ik heb geen kennis van enig Noord-Koreaans of Chinees bedrijf dat eraan werkt Onoverwinnelijk“, zegt de woordvoerder van Skybound Entertainment. “We nemen elke beschuldiging zeer serieus en zijn er een onderzoek naar begonnen.” U bericht op XHet bedrijf typeerde de bevindingen als “onbevestigd” en zei dat het samenwerkte met de autoriteiten aan het onderzoek.
Williams zegt dat het mogelijk is dat het lege bedrijf in China wordt gebruikt om de activiteiten en betrokkenheid van de Noord-Koreanen te verdoezelen. De onderzoekers konden de verbindingen met de blootgestelde server analyseren en ondanks dat de meesten hun locatie maskeerden met een VPN, ontdekten ze toegang vanuit Spanje en drie Chinese steden. “Het is bekend dat alle drie de steden veel Noord-Koreaanse bedrijven hebben en belangrijke knooppunten zijn voor Noord-Koreaanse IT-werknemers die in het buitenland wonen”, aldus het rapport.
Hoewel Williams zegt dat onderzoekers de namen van identificeerbare Noord-Koreaanse organisaties niet in de bestanden hebben gevonden, beschikt het land over een gerenommeerd animatiebedrijf genaamd 26 april Animation Studio, ook wel bekend als SEK Studio. De studio werd oorspronkelijk opgericht in de jaren vijftig en heeft aan honderden internationale tv-shows en films gewerkt.
De afgelopen jaren heeft het Amerikaanse ministerie van Financiën echter sancties opgelegd aan SEK Studios, aan individuen die eraan verbonden zijn en aan verschillende ‘frontbedrijven’ die naar eigen zeggen worden gebruikt om ‘voor buitenlandse klanten te werken’. Velen van hen zijn volgens de sancties verbonden met China. “SEK Studio gebruikte een reeks lege vennootschappen om sancties tegen de Noord-Koreaanse regering te omzeilen en om internationale financiële instellingen te misleiden”, aldus een verklaring die is vrijgegeven als onderdeel van de sancties van 2021.
Het belangrijkste doel van deze inspanningen is, zegt Michael Barnhart, een Noord-Koreaanse onderzoeker bij Mandiant, het inzamelen van geld voor het Noord-Koreaanse regime. Hackers en fraudeurs in het land hebben de afgelopen jaren miljarden dollars gestolen en afgeperst om de militaire ambities te helpen financieren, waaronder grote overvallen op cryptocurrency. Begin 2022 publiceerde de FBI een waarschuwing van zestien pagina’s waarin bedrijven werden gewaarschuwd dat afgelegen Noord-Koreaanse IT-freelancers bedrijven infiltreerden om geld te verdienen dat ze mee naar huis konden nemen.
“Het volume is veel hoger dan we hadden verwacht”, zegt Barnhart over de IT-medewerkers in Noord-Korea. Ze veranderen voortdurend van tactiek om te voorkomen dat ze gepakt worden, zegt hij. “Niet zo lang geleden hadden we er een waarbij tijdens het interview de mond van de persoon net buiten beeld was. Je kon zien dat iemand op de achtergrond namens hen sprak.” Technisch gezien moeten bedrijven volgens Barnhart de apparaten van hun externe medewerkers verifiëren en ervoor zorgen dat er geen externe software verbinding maakt met de laptop of het netwerk van het bedrijf. Bedrijven moeten ook extra inspanningen leveren in de aanwervingsfase door HR-personeel op te leiden om potentiële IT-medewerkers te herkennen.
Hij zegt echter dat er steeds meer kruisbestuivingen plaatsvinden tussen Noord-Koreaanse IT-medewerkers en individuen die lid zijn van bekende hackgroepen of geclassificeerd zijn als Advanced Persistent Threats (APT’s). “Hoe meer we ons richten op IT-medewerkers, hoe meer we zien dat APT-operators en hun inspanningen op hen aansluiten”, zegt hij. “Dit is misschien wel de snelst lerende natiestaat die ik ooit heb gezien.”